Cadenas confianza con DNSSEC aplicadas a Comunidades Virtuales de Aprendizaje

Obj. EA. DNSSEC. TR. Con.
Cadenas de confianza por medio de DNSSEC
aplicadas a Comunidades Virtuales de Aprendizaje
Autores: Espinoza-Ami, Gabriela-Paulina
Chamba-Eras, Luis-Antonio
Arruarte-Lasa, Ana-Jesús
Elorriaga-Arandia, Jon-Ander
Carrera de Ingenier´ıa en Sistemas - Universidad Nacional de Loja
Departamento de Lenguajes y Sistemas Informáticos - Universidad del Pa´ıs Vasco
”9 Congreso de Ciencia y Tecnolog´ıa ESPE 2014”
30 de mayo, Sangolqu´ı-Ecuador
1 / 34

Agenda
Objetivos de la ponencia
Estado del Arte
DNSSEC en las CVA
Trabajos Relacionados
Conclusiones y Trabajos futuros
2 / 34

Agenda
Estado del Arte
DNSSEC en las CVA
3 / 34

Objetivos
• Presentar la l´ınea de investigación de “Modelos de Confianza
Computacionales“ en Ecuador.
• Describir globalmente la utilización DNSSEC en un escenario
real en un entorno educativo.
4 / 34

Agenda
Estado del Arte
DNSSEC en las CVA
5 / 34

Conceptos preliminares
• Conﬁanza.
• Comunidades Virtuales de Aprendizaje.
• DNSSEC.
6 / 34

Confianza
• Múltiples definiciones aplicables a diversos contextos.
• Se la concibe como la medida en la que una persona está con-
fiada y ansiosa de actuar en base a las palabras, acciones y
decisiones de otros.
• Es un término abstracto, usado indistintamente con términos
como: credibilidad, confiabilidad o lealtad.
• Entornos de Comercio Electrónico, ofrecen un entorno de con-
fianza en donde los usuarios no tengan el temor a ser engañados.
• Modelos de confianza: aproximación matemática, agentes inte-
ligentes, Web of Trust (WOT).
7 / 34

Comunidades Virtuales de Aprendizaje (CVA)
• Es aquella agrupación de personas que se organiza para cons-
truir e involucrarse en un proyecto educativo y cultural propio
y que aprende a través del trabajo colaborativo, cooperativo y
solidario, en otras palabras, siguiendo un modelo de formación
más abierto, participativo y flexible que los modelos tradiciona-
les.
• En las CVA las personas comparten materiales (REA), creencias
y formas de aprender diversos temas en común.
• El hecho de que la personas puedan o no conocerse personal-
mente hace que la confianza se convierta en un factor determi-
nante en el funcionamiento de las CVA.
8 / 34

DNSSEC
• Extensiones de Seguridad del DNS.
• Pueden reforzar la confianza en Internet, ya que ayudan a pro-
teger a los usuarios del redireccionamiento a sitios Web frau-
dulentos y a direcciones no deseadas.
• Capacidad de validar la autenticidad y la integridad de los men-
sajes DNS, para detectar manipulación de la información.
• Internet no podr´ıa funcionar sin DNS. Sin embargo, no fue
diseñado con la seguridad en mente. La consecuencia ha sido su
vulnerabilidad a ataques de intermediario (man-in-the-middle,
MITM) y a envenenamiento de caché. Estas amenazas utilizan
datos falsificados para redireccionar el tráfico en Internet a sitios
fraudulentos y a direcciones no deseadas.
9 / 34

DNSSEC en IES a nivel mundial
• De acuerdo a la iniciativa DNSSEC Deployment, entre las prin-
cipales IES que han implementado DNSSEC, se encuentran:
• Universidad Berkeley de California (berkeley.edu)
• Universidad China de Hong Kong (cuhk.edu)
• Laboratorio de F´ısica Aplicada de la Universidad Johns Hopkins
(jhuapl.edu)
• Universidad de Missouri de Ciencia y Tecnolog´ıa (mst.edu)
• Universidad de Oxford (oxford-university.edu)
• Universidad de Pensilvania (penn.edu, upenn.edu)
• Centro de Supercomputaci´on de Pittsburgh (psc.edu)
• Corporaci´on Universitaria para el Desarrollo de Internet Avan-
zado (ucaid.edu)
• Universidad Pompeu Fabra (upf.edu)
• Universidad de Valencia (valencia.edu)
10 / 34

DNSSEC en IES a nivel de Ecuador
• En Ecuador ninguna IES ha realizado el firmado de las zonas
DNS con DNSSEC, con lo cual podr´ıan enfrentarse a los riesgos
derivados del DNS, debido a que las IES almacenan enormes
cantidades de información sensible y se mantienen activos en
l´ınea en las CVA cuyo acceso debe ser restringido efectivamente.
• TELCONET, operadora de comunicaciones corporativas y pro-
veedora de servicios de Internet en Ecuador, según los reportes
de los laboratorios del Registro Regional de Internet para la
región de Asia Pac´ıfico (APNIC), no provee resolutores de vali-
dación DNSSEC; es decir que no ha habilitado DNSSEC en sus
servidores de nombres recursivos por lo que no permite que sus
usuarios puedan verificar la autenticidad de las respuestas que
otorga la zona.
11 / 34

DNSSEC en IES a nivel de Loja
• En la Universidad Nacional de Loja no se ha realizado la imple-
mentación de DNSSEC, mecanismo que resulta desarrollar, ya
que los usuarios del dominio de la universidad que se encuen-
tran fuera de la ciudad intercambian información confidencial
teniendo seguridad de que es la real; además en el caso de la
MED se tendrá la confianza de la información en cuanto a pagos
bancarios que deben realizar.
• En la Universidad Técnica Particular de Loja no se ha efectua-
do el despliegue de DNSSEC, procedimiento que es beneficioso
implementar, porque permitir´ıa dar una solución integral a los
ataques concernientes al DNS, y podr´ıa formar parte del pro-
yecto de seguridad perimetral que se está llevando a cabo en la
universidad.
12 / 34

Agenda
Estado del Arte
DNSSEC en las CVA
13 / 34

Introducción
• Las instituciones de educación superior almacenan enormes can-
tidades de información sensible (incluyendo la información per-
sonal y financiera para los estudiantes y otras personas, informa-
ción médica y datos de investigación), y se mantienen activos
en l´ınea en las CVA cuyo acceso debe ser restringido efecti-
vamente. Los ataques DNS resultan en contraseñas robadas,
e-mail alterado (que a menudo es el canal para las comunica-
ciones oficiales), la exposición al malware, y otros problemas;
por lo que DNSSEC puede ser una parte importante de una
estrategia de seguridad cibernética.
14 / 34

Experimentación con DNSSEC
• Instalación y configuración de los servidores DNS.
Figura 1: Esquema DNS
15 / 34

• Aseguramiento de la zona DNS.
Figura 2: Isla de conﬁanza
16 / 34

Figura 3: Archipi´elagos de conﬁanza
17 / 34

Figura 4: Esquema del aseguramiento de las zonas DNS
18 / 34

• Conﬁguraci´on de un servidor de nombres recursivo para validar
las respuestas.
Figura 5: Servidor de nombres recursivo con claves KSK
19 / 34

Validaci´on de DNSSEC
• DNSSEC Validator.
Figura 6: Validaci´on del dominio unl.edu.ec
20 / 34

Figura 7: Validaci´on del dominio cva.unl.edu.ec
21 / 34

Figura 8: Validaci´on del dominio utpl.edu.ec
22 / 34

Figura 9: Validaci´on del dominio cva.utpl.edu.ec
23 / 34

Figura 10: Validaci´on del dominio espol.edu.ec
24 / 34

Figura 11: Validaci´on del dominio cva.espol.edu.ec
25 / 34

Agenda
Estado del Arte
DNSSEC en las CVA
26 / 34

Universidad de Pensilvania
• Zona DNS upenn.edu
• Internet2 y Educause
• Primero en completar el despliegue DNSSEC
27 / 34

Universidad Pompeu Fabra
• Arquitectura DNS obsoleta: SW y HW
• Dos fases: HW y SW
• Implement´o el dominio upf.edu y upf.cat
28 / 34

Agenda
Estado del Arte
DNSSEC en las CVA
29 / 34

Conclusiones
• El despliegue de DNSSEC en la comunidad virtual de aprendi-
zaje de la universidad garantiza la procedencia de contenidos
creados en este tipo de ambientes de aprendizaje y permite
mantener comunicaciones digitales fidedignas y confiables para
el aprendizaje y la investigación.
• Referente al despliegue de las extensiones de seguridad en los
dominios .ec y .edu.ec no se registra información de un plan
para ser firmados, por lo que, las instituciones que deseen im-
plementar DNSSEC en sus entornos DNS pueden hacer uso del
DLV provisto por la Internet Systems Consortium.
30 / 34

Conclusiones
• La implementación de DNSSEC en todos los dominios de las
instituciones de educación superior que pertenezcan al CEDIA
permitirá tener islas y archipiélagos de confianza que permi-
tirá autenticar y verificar la información que se genere en sus
comunidades virtuales tanto en la academia como en la inves-
tigación.
31 / 34

Trabajos futuros
• Implementar en conjunto DNSSEC con el protocolo DNScur-
ve para proteger las consultas entre un cliente y un servidor
mediante el cifrado de los paquetes DNS.
• Combinar DNSSEC en conjunto con el protocolos IPSec para
asegurar las comunicaciones sobre el Protocolo de Internet (IP),
cifrando cada paquete IP en un flujo de datos.
• Utilizar el protocolo SSL o TLS para proveer autenticación y
privacidad de la información entre las partes extremas mediante
el uso de criptograf´ıa.
32 / 34

Contactos
• {gpespinozaa,lachamba}@unl.edu.ec
• {a.arruarte,jon.elorriaga}@ehu.es

Cadenas confianza con DNSSEC aplicadas a Comunidades Virtuales de Aprendizaje

Más contenido relacionado

Destacado

Similar a Cadenas confianza con DNSSEC aplicadas a Comunidades Virtuales de Aprendizaje

Más de Universidad Nacional de Loja

Cadenas confianza con DNSSEC aplicadas a Comunidades Virtuales de Aprendizaje